跨服务混淆代理问题防范 - Amazon IoT Analytics
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon IoT Analytics 不再向新客户提供。的现有客户 Amazon IoT Analytics 可以继续照常使用该服务。了解更多

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨服务混淆代理问题防范

混淆代理问题是一个安全性问题,即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在 Amazon 中,跨服务模拟可能会导致混淆代理问题。一个服务(呼叫服务) 调用另一项服务(所谓的服务)时,可能会发生跨服务模拟。可以操纵调用服务以使用其权限对另一个客户的资源进行操作,否则该服务不应有访问权限。为了防止这种情况,Amazon 提供可帮助您保护所有服务的服务委托人数据的工具,这些服务委托人有权限访问账户中的资源。

我们建议在资源策略中使用 aws:SourceArnaws:SourceAccount 全局条件上下文密钥。这样可以限制 Amazon IoT Analytics 为该资源提供其他服务的权限。如果使用两个全局条件上下文键,在同一策略语句中使用时,aws:SourceAccount 值和 aws:SourceArn 值中的账户必须使用相同的账户 ID。

防止混淆代理问题最有效的方法是使用具有资源完整 Amazon Resource Name (ARN) 的 aws:SourceArn 全局条件上下文键。如果您不知道资源的完整 ARN,或正在指定多个资源,请针对 ARN 未知部分使用带有通配符 (*) 的 aws:SourceArn 全局上下文条件键。例如,arn:aws:iotanalytics::123456789012:*

Amazon S3 存储桶的防护

如果使用客户托管的 Amazon S3 存储进行 Amazon IoT Analytics 数据存储,存储您数据的 Amazon S3 存储桶可能会遇到混淆代理问题。

例如,Nikki Wolf 使用了客户拥有的名为 DOC-EXAMPLE-BUCKET 的 Amazon S3 存储桶。该存储桶存储在 us-east-1 区域中创建的 Amazon IoT Analytics 数据存储的信息。她指定了一项策略,以便 Amazon IoT Analytics 服务主体代表其查询 DOC-EXAMPLE-BUCKET。Nikki 的同事 Li Juan 通过自己的账户查询 DOC-EXAMPLE-BUCKET,并使用查询结果创建数据集。结果,尽管该查询是通过她自己的账户进行的,但 Amazon IoT Analytics 服务主体还是代表其查询了 Nikki 的 Amazon S3 存储桶。

为避免这种情况,Nikki 可在策略中对 DOC-EXAMPLE-BUCKET 指定 aws:SourceAccount 条件或 aws:SourceArn 条件。

指定 aws:SourceAccount 条件 ‐ 以下存储桶策略示例指定了仅 Nikki 账户(123456789012)中的 Amazon IoT Analytics 资源可访问 DOC-EXAMPLE-BUCKET

{ "Version": "2012-10-17", "Id": "MyPolicyID", "Statement": [ { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "iotanalytics.amazonaws.com" }, "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }

指定 aws:SourceArn 条件 ‐ 或者,Nikki 也可使用 aws:SourceArn 条件。

{ "Version": "2012-10-17", "Id": "MyPolicyID", "Statement": [ { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "iotanalytics.amazonaws.com" }, "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ], "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:iotanalytics:us-east-1:123456789012:dataset/DOC-EXAMPLE-DATASET", "arn:aws:iotanalytics:us-east-1:123456789012:datastore/DOC-EXAMPLE-DATASTORE" ] } } } ] }

使用 Amazon CloudWatch Logs 防范

在使用 Amazon CloudWatch Logs 进行监控时,可防止出现混淆代理问题。以下资源策略显示了如何防止混淆代理问题:

  • 全局条件上下文密钥,aws:SourceArn

  • 具有您 Amazon 账户 ID 的 aws:SourceAccount

  • 与 Amazon IoT Analytics 中 sts:AssumeRole 请求关联的客户资源

如下例所示,将 123456789012 替换为 Amazon 账户 ID,将 us-east-1 替换为 Amazon IoT Analytics 账户所在区域。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "iotanalytics.amazonaws.com" }, "Action": "logs:PutLogEvents", "Resource": "*", "Condition":{ "ArnLike":{ "aws:SourceArn":"arn:aws:iotanalytics:us-east-1:123456789012:*/*" }, "StringEquals":{ "aws:SourceAccount":"123456789012" } } ] }

有关启用和配置 Amazon CloudWatch Logs 的更多信息,请参阅 Amazon IoT Analytics 中的日志记录和监控

对客户管理的 Amazon IoT Analytics 资源进行混淆代理预防

如果授权 Amazon IoT Analytics 对 Amazon IoT Analytics 资源执行操作,这些资源可能会遇到混淆代理问题。为防止出现混淆代理问题,可使用以下示例资源策略来限制授予 Amazon IoT Analytics 的权限。

防范 Amazon IoT Analytics 通道和数据存储

您可使用 IAM 角色来控制 Amazon IoT Analytics 代表您访问的 Amazon 资源。为防止您的角色面临混淆代理问题,可在 aws:SourceAccount 元素中指定 Amazon 账户,并在附加到角色的信任策略的 aws:SourceArn 元素中指定 Amazon IoT Analytics 资源 ARN。

在以下示例中,将 123456789012 替换为 Amazon 账户 ID,将 arn:aws:iotanalytics:aws-region:123456789012:channel/DOC-EXAMPLE-CHANNEL 替换为 Amazon IoT Analytics 通道或数据存储的 ARN。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "iotanalytics.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:iotanalytics:aws-region:123456789012:channel/DOC-EXAMPLE-CHANNEL" } } } ] }

要了解有关通道和数据存储的客户托管 S3 存储选项的更多信息,请参阅《Amazon IoT Analytics API 参考》中的 CustomerManagedChannelS3StorageCustomerManagedDatastoreS3Storage

Amazon IoT Analytics 数据集内容传送规则的跨服务混淆代理预防

在将数据集查询结果传送到 Amazon S3 或 Amazon IoT Events 时 Amazon IoT Analytics 所承担的 IAM 角色可能会遇到混淆代理问题。为防止出现混淆代理问题,请在 aws:SourceAccount 元素中指定 Amazon 账户,并在附加到角色的信任策略 aws:SourceArn 元素中指定 Amazon IoT Analytics 资源的 ARN。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfusedDeputyPreventionExampleTrustPolicyDocument", "Effect": "Allow", "Principal": { "Service": "iotanalytics.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:iotanalytics:aws-region:123456789012:dataset/DOC-EXAMPLE-DATASET" } } } ] }

有关配置数据集内容传送规则的更多详细信息,请参阅《Amazon IoT Analytics API 参考》中的 contentDeliveryRules